Windows 10 Defender Antivirus 和 Microsoft Safety Scanner 检测并隔离了 TemenosSecurity.jar 文件中名为“Exploit:Java/Obfuscator.F”的“Exploit”类别的威胁以及 Temenos T24 TAFJ 软件的其他几个 jar,该软件运行为一个独立的 Java 应用程序,也可以作为 JBoss EAP Java 应用程序服务器容器中的 J2EE。
该软件由官方发行商提供,它应该是无病毒的并且是可以信任的。然而,互联网上有很多关于“Exploit:Java/Obfuscator.F”的坏话,比如:
此威胁已被“混淆”,这意味着它试图隐藏其目的,因此您的安全软件无法检测到它。隐藏在这种混淆之下的恶意软件几乎可以有任何目的。
是什么导致 Windows Defender 防病毒软件检测到此威胁?攻击者可以利用此漏洞吗?为了避免这个 jar 被 Antivirus 检测到,软件提供商应该采取哪些不同的措施?
【问题讨论】:
公司发布产品可能只是为了保护他们的 IP 而混淆了他们的代码,并且没有注意到它正在引发反病毒。
代码混淆是指以难以分析的方式转换代码。病毒可能会使用它,因此防病毒软件无法分析它们的代码以确定它们做错了什么。另一方面,合法软件可能会使用它来防止其他人对其算法进行分析和逆向工程。
分销商也有可能遭到入侵,并且正在运送真正的恶意软件,就像 Lothar 的回答中提到的那样。
无论如何,最好让经销商知道。如果他们合法地使用混淆,他们可能希望对他们的软件进行数字签名,并向防病毒提供商注册以消除警告。如果他们无意中传播了恶意软件,他们也会很高兴知道。但是,在联系他们之前,您可能需要专门查找与您尝试使用的软件相关的错误。如果您发现该公司声明这是一个已知问题,则无需联系他们,并且如果您信任该公司,则使用该软件很可能是安全的。
【讨论】:
我会认真对待这些信息并与经销商取得联系。仅仅因为该软件来自“官方”来源,并不意味着它默认没有恶意软件。
过去有几个例子(即使在 Good Old Days[TM] 以软盘形式运送东西),硬件和软件供应商在运送他们的东西时会附带一些不需要的恶意软件作为奖励。最近的一个例子是Pear.php.net service,它被攻陷了半年,提供包括恶意软件在内的 PHP 模块。
回答您的其他问题:
是什么导致 Windows Defender 防病毒软件检测到此威胁?
它使用了一种检测机制来找到它。有不同的,所以很难从 Here[TM] 说。排除误报的一种方法是转到Virustotal 并上传一个有问题的文件。该文件将针对 60 种或更多的病毒扫描程序进行测试,如果发出的警告不止几个,您可以假定该文件实际上包含恶意软件。
攻击者能否利用此漏洞?
如果这不是误报(并且如果报告有多个罐子受到影响,那听起来不像是一个),我想是的。
为了避免这个 jar 被 Antivirus 检测到,软件提供商应该采取哪些不同的措施?
不将他们的软件与恶意软件捆绑将是一个开始 ;-)
【讨论】: